Vážná zranitelnost ve službě Xbox Live údajně umožnila hackerům vidět e-mailové ID kohokoli, kdo tuto službu využil. Vyplývá to z několika výzkumníků v oblasti kybernetické bezpečnosti, kteří tvrdili, že objevili mezeru a nahlásili to společnosti Microsoft. Tato chyba zabezpečení byla od té doby opravena na straně serveru a společnost Microsoft vydala prohlášení, že uživatelé nemusí ze své strany dělat nic pro zmírnění problému.
Jedním z výzkumníků, kteří ohlásili problém společnosti Microsoft, je Joseph 'Doc' Harris, který to řekl ZDNet že chyba byla umístěna v doméně „vymáhání.xbox.com“, která uživatelům Xbox umožňuje zobrazit stávky proti jejich profilu Xbox a odvolat se, pokud mají pocit, že byli nespravedlivě pokáráni.
Podle Harrisa obsahovaly soubory cookie portálu pole ID uživatele Xbox (XUID), které nebylo zašifrováno, což hackerům umožnilo vidět e-maily ostatních uživatelů pouhou výměnou hodnoty cookie XUID za XUID testovacího účtu, který vytvořil pro účely testování jako součást programu odměn za bug Xbox. "Pokusil jsem se vyměnit hodnotu cookie a osvěžit se a najednou jsem viděl ostatní e-maily (uživatelů)", zjevně to řekl blogu v rozhovoru na začátku tohoto týdne.
Jak již bylo zmíněno, Microsoft zavedl opravu šifrující XUID. V oficiálním prohlášení společnost uvedla, že ano „Vydala aktualizaci, která pomáhá chránit zákazníky“. Na chybu se však nevztahoval program odměn za chyby Xbox, což znamená, že Harris za svůj výzkum nezískal žádnou finanční odměnu, i když společnost Microsoft souhlasila s tím, že ho bude jako přispěvatele uvádět ve své Síni slávy Bug Bounty.